În procesul de filtrare a traficului pe Internet, toate firewall-urile au un anumit tip de caracteristică de înregistrare care documentează modul în care firewall-ul gestiona diferite tipuri de trafic. Aceste jurnale pot furniza informații valoroase, cum ar fi adresele IP sursă și destinație, numerele porturilor și protocoalele. De asemenea, puteți utiliza fișierul jurnal de protecție Windows Firewall pentru a monitoriza conexiunile TCP și UDP și pachetele care sunt blocate de paravanul de protecție.
În mod implicit, fișierul jurnal este dezactivat, ceea ce înseamnă că nu există nicio informație scrisă în fișierul jurnal. Pentru a crea un fișier log, apăsați tasta "Win + R" pentru a deschide caseta Run. Introduceți "wf.msc" și apăsați Enter. Apare ecranul "Paravan de protecție Windows cu securitate avansată". În partea dreaptă a ecranului, faceți clic pe "Proprietăți".
Apare o nouă casetă de dialog. Faceți clic pe fila "Profil privat" și selectați "Personalizați" în secțiunea "Jurnal".
Se deschide o fereastră nouă și din acest ecran alegeți dimensiunea maximă a jurnalului, locația și dacă doriți să înregistrați numai pachete abandonate, conexiune reușită sau ambele. Un pachet abandonat este un pachet pe care Windows Firewall l-a blocat. O conexiune de succes se referă atât la conexiunile de intrare, cât și la orice conexiune pe care ați făcut-o prin Internet, dar nu înseamnă întotdeauna că un intrus a conectat cu succes la computer.
Implicit, paravanul de protecție Windows scrie intrările de jurnal la % SystemRoot% \ System32 \ Loguri \ Firewall \ pfirewall.log și stochează numai ultimele 4 MB de date. În majoritatea mediilor de producție, acest jurnal va scrie în mod constant pe hard disk, iar dacă schimbați limita de dimensiune a fișierului log (pentru a înregistra activitatea pe o perioadă lungă de timp), poate provoca un impact asupra performanței. Din acest motiv, ar trebui să activați înregistrarea numai atunci când remediați în mod activ o problemă și apoi dezactivați imediat înregistrarea atunci când ați terminat.
Apoi, faceți clic pe fila "Profil public" și repetați aceiași pași pe care ați făcut-o pentru fila "Profil privat". Acum ați activat jurnalul pentru conexiunile de rețea private și publice. Fișierul jurnal va fi creat într-un format de jurnal extins W3C (.log) pe care îl puteți examina cu un editor de text la alegere sau le puteți importa într-o foaie de calcul. Un singur fișier jurnal poate conține mii de intrări de text, deci dacă le citiți prin Notepad, dezactivați wrappingul cuvântului pentru a păstra formatul coloanelor. Dacă vizualizați fișierul jurnal într-o foaie de calcul, atunci toate câmpurile vor fi afișate logic în coloane pentru o analiză mai ușoară.
În ecranul principal "Paravanul de protecție Windows cu securitate avansată", derulați în jos până când vedeți linkul "Monitorizare". În panoul Detalii, sub "Setări de înregistrare", faceți clic pe calea fișierului de lângă "Nume fișier". Jurnalul se deschide în Notepad.
Jurnalul de securitate Windows Firewall conține două secțiuni. Antetul furnizează informații statice și descriptive despre versiunea jurnalului și câmpurile disponibile. Corpul jurnalului este datele compilate introduse ca rezultat al traficului care încearcă să treacă paravanul de protecție. Este o listă dinamică, iar înregistrările noi continuă să apară în partea de jos a jurnalului. Câmpurile sunt scrise de la stânga la dreapta în pagină. (-) este utilizat atunci când nu există nicio intrare disponibilă pentru câmp.
Conform documentației Microsoft Techet, antetul fișierului jurnal conține:
Versiune - Afișează ce versiune de jurnal de securitate Windows Firewall este instalată.
Software - Afișează numele software-ului care creează jurnalul.
Timp - Indică faptul că toate informațiile despre marcajele temporale din jurnal sunt în ora locală.
Câmpuri - Afișează o listă de câmpuri disponibile pentru intrările în jurnalul de securitate, dacă sunt disponibile date.
În timp ce corpul fișierului jurnal conține:
dată - câmpul de dată identifică data în formatul AAAA-MM-DD.
Ora - Ora locală este afișată în fișierul jurnal utilizând formatul HH: MM: SS. Orele sunt menționate în format de 24 de ore.
acțiune - Deoarece firewall-ul procesează traficul, sunt înregistrate anumite acțiuni. Acțiunile înregistrate sunt DROP pentru abandonarea unei conexiuni, OPEN pentru deschiderea unei conexiuni, CLOSE pentru închiderea unei conexiuni, OPEN-INBOUND pentru o sesiune de intrare deschisă la computerul local și INFO-EVENTS-LOST pentru evenimentele procesate de Paravanul de protecție Windows, dar nu au fost înregistrate în jurnalul de securitate.
protocol - protocolul utilizat, cum ar fi TCP, UDP sau ICMP.
src-ip - Afișează adresa IP sursă (adresa IP a computerului care încearcă să stabilească comunicarea).
dst-ip - Afișează adresa IP de destinație a unei încercări de conectare.
src-port - Numărul portului de pe computerul de trimitere de la care sa încercat conexiunea.
dst-port - Portul la care computerul trimis a încercat să facă o conexiune.
dimensiune - Afișează dimensiunea pachetului în octeți.
tcpflags - Informații despre parametrii de control TCP în anteturile TCP.
tcpsyn - Afișează numărul secvenței TCP din pachet.
tcpack - Afișează numărul de confirmare TCP din pachet.
tcpwin - Afișează dimensiunea ferestrei TCP, în octeți, în pachet.
icmptype - Informații despre mesajele ICMP.
icmpcode - Informații despre mesajele ICMP.
info - Afișează o intrare care depinde de tipul de acțiune care a avut loc.
cale - Afișează direcția comunicării. Opțiunile disponibile sunt SEND, RECEIVE, FORWARD și UNKNOWN.
După cum observați, intrarea în jurnal este într-adevăr mare și poate conține până la 17 informații asociate fiecărui eveniment. Cu toate acestea, doar primele opt informații sunt importante pentru analiza generală. Cu detaliile din mâna dvs. puteți analiza informațiile pentru activitățile dăunătoare sau pentru eșecurile aplicațiilor de depanare.
Dacă suspectați o activitate rău intenționată, deschideți fișierul jurnal în Notepad și filtrați toate intrările de jurnal cu DROP în câmpul de acțiune și notați dacă adresa IP de destinație se termină cu un alt număr decât 255. Dacă găsiți multe astfel de intrări, o notă a adreselor IP de destinație ale pachetelor. După ce ați terminat depanarea problemei, puteți dezactiva autentificarea firewall-ului.
Depanarea problemelor de rețea poate fi destul de descurajantă uneori și o bună practică recomandată atunci când depanarea Windows Firewall este de a activa istoricul nativ. Deși fișierul jurnal de protecție Windows Firewall nu este util pentru analizarea securității globale a rețelei dvs., aceasta rămâne o bună practică dacă doriți să monitorizați ceea ce se întâmplă în spatele scenei.
